米国の携帯電話会社は、顧客の氏名、電話番号、契約内容、自宅の郵便番号、現在地などの個人情報をすべてセキュリティの名の下に第三者に販売しているようだ。
セキュリティ研究者のフィリップ・ノイストロム氏は、モバイル認証企業2社(ダナルとペイフォン)が運営するデモサイトを発見し、そのリンクを貼った。そのサイトは、両社が数百万人のリアルタイムの位置情報など、驚くほど大量の個人情報にアクセスできることを明らかにした。
両社ともユーザーの同意を得ていると主張しているが、デモサイトをテストした他のセキュリティ研究者を含む多くの人々にとって、これは未知の情報だった。彼らは自分の個人情報が画面に表示されることに驚き、その後両サイトは削除され、ダナル氏がAT&Tにシステムについて行ったプレゼンテーションも削除された。
DNSの重大な欠陥を発見したことで知られるダン・カミンスキー氏は、「ふーん。うまくいったのを確認した。15年ほど前のアドレスも持っていた」とツイートした。しかし、SwiftOnSecurityの投稿は、おそらく多くの人々の反応を最も的確にまとめている。「何だって? クソッ」
これらの企業は、2013年に「企業のモバイル取引をより安全かつ容易にする」手段として発表されたAT&Tのモバイル・アイデンティティAPIを利用しているようです。このサービスは、携帯電話を使ったオンラインバンキングなどの安全な利用において、さらなるセキュリティを提供することを目的としており、ログイン情報とモバイル契約情報、位置情報データを相互参照することで二重チェックを実現するという考え方です。
多くのオンライン バンキング アプリでは、2 要素認証などではなく、1 つのパスワードのみが必要なため、二重チェックは、ハッカーが人々の銀行口座にアクセスしないようにするための貴重な手段となります。
同意
DanalとPayfoneは、企業にサービスの利用を許可する前にユーザーの同意を得る義務があるが、デモによってそれが事実であるかどうかに大きな疑問符がついた。
警察が携帯電話の通話記録を使ってストーカー行為をするのに令状は必要か?米最高裁が検討へ
続きを読む
Payfoneは「セキュリティとデータプライバシーに関する同意に関する非常に厳格な枠組み」があると主張している。しかし、オンラインデモを通じて情報が容易に入手できたという事実から、その枠組みが実際にどれほど厳格であるのか、多くの人が推測することになった。
デモでは携帯電話のIPアドレスが使用され、自分のアカウントのデータのみを参照できます。例えば、他人の名前を入力して個人情報にアクセスすることはできません。しかし、DanalやPayfoneの顧客であれば、ユーザーの同意を得ていることを示すだけで、そのデータにアクセスできます。この確認がどれほど厳格に行われているのか、あるいは企業が同意を得たことをデフォルトで表明しているだけなのかは不明です。
また、第三者が自分の個人データへのアクセスに同意したと感じているかどうかを確認する方法や、将来的に同意を拒否またはオプトアウトする方法も明確ではありません。
他のモバイル会社も同様の仕組みを採用しているかどうかも不明です。つまり、ユーザーの詳細情報をすべて第三者に提供し、その第三者に報酬を支払う一方で、同意取得の要件は下位の会社に押し付けるという仕組みです。できるだけ多くのユーザーのデータを提供することに明確な金銭的インセンティブがあるため、チェーン内のどの会社も厳格な要件を課しているという確信は高くありません。
規制?
このような仕組みが規制当局に抵触する前例がある。2016年、ベライゾンは「スーパークッキー」の使用で135万ドルの罰金を科された。スーパークッキーは、電話ユーザーからのすべてのデータリクエストに固有の識別子を挿入し、同社がユーザーを追跡することを可能にするものだった。これにより同社は顧客の包括的なプロファイルを構築し、それを広告主の誘致に利用していた。ユーザーがベライゾンの広告追跡プログラムをオプトアウトしたとしても、スーパークッキーによる追跡は継続された。
ベライゾンは2012年にスーパークッキーの使用を開始し、2014年に連邦通信委員会(FCC)の調査を受け、2016年に合意に達した。しかし、プライバシー保護活動家らはこの罰金を非常に少額とみなし、懸念の度合いが高かったため、一部の議員はスーパークッキーを禁止する新たな法案を提出すると約束した。
罰金に加え、FCCはベライゾンに対し、スーパークッキーの存在を全顧客に通知し、トラッカーを削除するためのシンプルな選択肢を提供するよう命じました(PDF)。また、ベライゾンが蓄積したデータを第三者と共有する前に、数百万人のユーザーから積極的に許可を得る必要があるとも指示されました。
スーパークッキーの使用と、ダナルとペイフォンが使用していると思われるサードパーティAPIデータ共有の両方を含む、モバイルおよびケーブル会社によるそのようなスキームの導入を違法とする規則は、今年初めに施行される予定だったが、FCC委員長アジット・パイによって土壇場で却下され、その後、共和党議員によって難解な法律を使って撤回された。
位置データの使用も現時点では特にデリケートな問題であり、裁判所ではそのようなデータに関してどのような規則が存在するのか、また、そのデータへのアクセスを許可するにはどのような法的基準を満たす必要があるのかが議論されています。®
